En muchos casos, y dada la nueva mentalidad de la nube,
podemos acceder a esa información desde otros dispositivos a
1.1 tecnología
Ni siquiera las nuevas tecnologías de hoy en dia se salvan de
ser vulneradas; La materialización de las amenazas a las que
están expuestos nuestros dispositivos puede afectar a la
accesibilidad del dispositivo, a la integridad de la información
que contiene y a la identidad del usuario que la posee ya
que puede provocar una suplantación de identidad. Y no nos
quedamos ahí, ya que la disponibilidad quizá sea uno de los
aspectos que más problemas puede generar, principalmente si
hablamos por ejemplo de entornos industriales donde una
parada del servicio debido a un ataque de denegación de
servicio (DoS) entre otros, puede provocar grandes pérdidas.
Otro factor a tener en cuenta y directamente relacionado con
la información es la confidencialidad de los datos, que se
debe garantizar tanto a la información almacenada en el
dispositivo como a la transmitida en las comunicaciones que
éste realice, más si son a través de Internet. llamada IDS
permite conocer con detalle los ataques y vulnerabilidades de
las redes.
1.2 Tipos de riesgo que se pueden producir
en determinados dispositivos.
2.2.1 Posicionamiento GPS.
los wearables son dispositivos que un usuario lleva puestos.
Por lo general, estos van conectados a Internet por lo que
pueden ser fácilmente geo posicionados en todo momento,
Esto hace que la localización del usuario quede en algún sitio
web y, en función de la configuración de privacidad pueda
estar al alcance de cualquiera. Esta situación se produce
también al usar un smartphone si no sabemos qué
aplicaciones tienen acceso a la localización.
Figura 1 GPS en un ponible
2.2.2 Robo de información
través de Internet, desde aplicaciones móviles o desde
entornos web donde para acceder disponemos de un usuario y
una contraseña. En caso de que un tercero pudiera acceder,
dispondría de información que podría vulnerar nuestra
privacidad.
El uso de aplicaciones en dispositivos conectados a Internet
puede hacer pública cierta información, como es el caso de
las aplicaciones de salud y vida sana que pueden publicar la
posición GPS, las calorías quemadas durante la carrera, la
edad, la altura, el peso, los kilómetros recorridos, todo ello en
¡tiempo real!
2.2.3 Control y uso malintencionado de
los dispositivos.
Otro de los riesgos al que nos enfrentamos en esta nueva era
son los ataques que pueden llegar al tomar el control de los
dispositivos que utilizamos. Dispositivos que después
de un ataque aprovechando una posible vulnerabilidad son
controlados por terceros de forma remota.
El atacante si consiguiese controlar nuestro frigorífico,
nuestro horno, nuestra lavadora, o incluso nuestro coche, este
uso no legítimo de alguno de estos dispositivos puede afectar
a la seguridad e integridad física de sus usuarios.
Aunque quizá pensemos que estas situaciones ocurren en
entornos personales, también ocurre en los entornos
profesionales e industriales. En estos entornos además de los
dispositivos que podemos encontrar y utilizar en cualquier
hogar, hay Infraestructuras Críticas monitorizadas en tiempo
real por sistemas complejos, llamados sistemas SCADA
SCADA (Supervisión, Control y Adquisición de Datos) son
ampliamente utilizados, como parte de IoT, están integrando
los sensores de las redes con Internet de modo
que estos puedan ser monitorizados y controlados de forma
remota. En algunos sistemas SCADA incluso se gestionan
flujos de datos recibidos de subestaciones (UTR, Unidades
Terminales Remotas) como es el caso de sistemas de control
de tráfico, sistemas de transporte o sistemas de distribución
de agua entre otros.
2.3 Principales vulnerabilidades detectadas
durante el año pasado en el IOT y algunas
recomendaciones para evitarlas
2.3.1 Uso de contraseñas débiles o embebidas
El uso de contraseñas que pueden ser fácilmente obtenidas
mediante un ataque por fuerza bruta, que por defecto sean la
misma para todos los dispositivos o que incluso estén
públicas en Internet, son vulnerabilidades bastante arraigadas
en las tecnologías IoT por su herencia de los sistemas de
control.
Esta es una de las vulnerabilidades más graves en el ámbito
IoT, puesto que ya ha sido explotada, en ocasiones anteriores,
con el fin de realizar ataques de denegación de servicio
distribuido utilizando una red de bots formada por
dispositivos IoT que tenían una contraseña por defecto en sus
accesos. La solución a esta vulnerabilidad es bastante simple:
utilizar contraseñas únicas entre dispositivos, asociadas a una
cuenta o a un servicio de directorio activo, de tal manera que
la contraseña no esté embebida en el dispositivo.
2.3.2 Servicios de red inseguros
Se deben evitar aquellos servicios de red innecesarios o
inseguros que se ejecutan en los dispositivos en segundo
plano y que están expuestos a Internet. Una explotación
exitosa de las vulnerabilidades que pudiera haber en dichos
servicios podría comprometer la confidencialidad, integridad
o disponibilidad de los datos almacenados en el dispositivo o
incluso permitir un acceso remoto al mismo. La solución pasa
por la deshabilitación de aquellos servicios que no sean
necesarios y la solución de problemas de seguridad en
aquellos que sí lo sean.
2.3.3 Interfaces inseguras en el ecosistema IoT
Las herramientas externas a los dispositivos como interfaces
web, API en el backend o servicios en la nube pueden estar
configurados de una manera insegura, lo que comprometería
los dispositivos y otros componentes que se gestionan a través
de éstas. Adoptar medidas de control de acceso a dichas
interfaces, filtrar las entradas y salidas de los servicios y
asegurar las comunicaciones añadiendo algoritmos de
encriptación son las medidas más efectivas para paliar el
problema.
2.3.4 Falta de mecanismos de actualización
seguros
En este apartado se incluye la falta de mecanismos de
validación de las versiones de firmware en los dispositivos,
medios de transmisión inseguros, falta de mecanismos para
evitar la vuelta a versiones previas y, por lo tanto, más
inseguras y la falta de notificación sobre los cambios de
seguridad que se incluyen tras cada actualización. En estos
casos, siempre es recomendable que el dispositivo a actualizar
revise la integridad del firmware, así como su procedencia
antes de ser instalado, con el fin de evitar que versiones
modificadas del firmware puedan ser instaladas.
2.3.5 Uso de componentes inseguros o seguridad, como videocámaras o vigilantes de seguridad.
desactualizados
El uso de componentes software y hardware inseguros u
obsoletos pueden comprometer el dispositivo. La mayoría de
los dispositivos utilizan componentes y librerías de terceros,
sistemas operativos personalizados, así como componentes
hardware de distintos fabricantes. Por ello, es importante
asegurarse de que dichas librerías no están obsoletas o
pertenezcan a una versión con vulnerabilidades conocidas, así
como asegurarse de que los componentes del hardware no
provienen de un proceso de fabricación que ha sido
comprometido.
2.3.6 Insuficiente protección de la privacidad
La manera con la que se manejan los datos del usuario
almacenados en los dispositivos IoT y en su ecosistema
actualmente es insegura, impropia y se suele hacer sin
solicitar permiso. Una solución a este problema puede estar
en establecer una política para la manipulación de los datos
del usuario, de tal manera que solo se pueda acceder a lo que
sea estrictamente necesario e informando siempre al cliente
sobre a qué parte de su información se tiene acceso para cada
servicio.
2.3.7 Falta de seguridad en el almacenamiento
y transferencia de datos
Es necesario utilizar algoritmos de cifrado cuando se manejan
datos sensibles. También se debe llevar un control de acceso a
los mismos dentro del ecosistema IoT. Por ejemplo, en las
comunicaciones entre el interfaz web de un sistema domótico
y los dispositivos que lo componen.
2.3.8 Configuraciones por defecto inseguras
Las configuraciones por defecto de los dispositivos suelen ser
inseguras. Por ello, es conveniente establecer configuraciones
enfocadas a proteger el sistema, aplicar políticas estrictas de
filtrado de las conexiones y la gestión de permisos.
2.3.9 Inadecuada gestión de dispositivos
Es necesario llevar a cabo controles de seguridad en los
dispositivos de producción que incluyan, entre otros, la
gestión de activos y actualizaciones, monitorización de los
sistemas, políticas de desmantelamiento y borrado seguro de
los dispositivos
2.3.10 Falta de bastionado físico
Incluye la falta de controles sobre el acceso físico al
dispositivo, ya que si un atacante consigue este acceso las
medidas de seguridad implantadas resultan inútiles. Para
evitarlo se debe restringir el acceso físico a los dispositivos a
personas autorizadas e implementar medidas adicionales de
2.4 Medidas de seguridad y recomendaciones
que se deben aplicar al IOT
Sacarles provecho a las ventajas a la tecnología basada en el
internet de las cosas, no tiene por qué implicar la disminución
de la seguridad de tus datos. Algunas medidas simples que
puedes tomar para continuar garantizando la protección de tus
sistemas son las siguientes:

2.4.1 Inicia el reconocimiento de cada
dispositivo conectado
Cada nuevo dispositivo del IoT que se introduce en una red
añade un punto de entrada potencial para cualquier
ciberataque, por lo que debes esforzarte en reconocerlos todos
para monitorearlos de forma constante.
Una vez identificados los dispositivos, utiliza una estrategia
basada en el riesgo, priorizando los recursos críticos en la
infraestructura del Internet de las Cosas. Examina los recursos
y asegúralos según su valor y su exposición a ataques.
2.4.2 Lleva a cabo una prueba de penetración
Realiza algún tipo de prueba de penetración o evaluación de
dispositivos en cuanto a hardware y software antes de
desplegar dispositivos basados en la tecnología del Internet de
las cosas.
2.4.3 Analiza los datos
A través de la tecnología Big Data, puedes usar los datos
relacionados con el comportamiento de los dispositivos; para
detectar anomalías que permitan prevenir o responder de
forma rápida a cualquier ciberataque.
2.4.4 Utiliza un sistema de cifrado de
transporte
Utiliza protocolos SSL y TSL para cifrar la información que
transita por las redes y automatiza la verificación de la
integridad de todos los datos recibidos en el sistema.
2.4.5 Asegura también la interfaz de la nube
Para esto, procura cambiar durante la configuración inicial,
todos los nombres de usuario y contraseñas por defecto.
Configura el sistema para que bloquee cualquier cuenta luego
de 3 a 5 intentos de inicio de sesión fallidos; y procura que la
interfaz web basada en la nube no sea susceptible a XSS,
SQLi o CSRF.
Llegará un momento en el que la tecnología basada en el
internet de las cosas no signifique solo la interconexión entre
usuarios, procesos y dispositivos; sino también protección y
confianza. Mientras tanto, la búsqueda de protocolos de
seguridad eficientes para el IoT debe continuar.
2.4.6 Tener el dispositivo con las últimas
actualizaciones
Debemos comprobar que nuestros aparatos posean la última
versión del software que empleen para su buen
funcionamiento. Este puede ser un sistema operativo o un
firmware. Este proceso es necesario para evitar cualquier tipo
de vulnerabilidad que haya detectado el fabricante, para la
que se ha desarrollado la actualización.
No obstante, todavía existirán vulnerabilidades para las que el
fabricante todavía no ha podido resolver, las llamadas Zero
Day. Ante esto, tendremos que estar al tanto de las nuevas
actualizaciones que vayan apareciendo para mejorar nuestra
seguridad.
2.4.7 Investigar y aprovechar las medidas de
seguridad implantadas en el dispositivo:
autenticación y control de accesos
Después de revisar que nuestros dispositivos hacen uso de las
últimas actualizaciones, es recomendable investigar las
herramientas de seguridad que los fabricantes han incluido.
Como, por ejemplo, algún tipo de mecanismo de seguridad
para la autenticación y el control de accesos.
El dispositivo deberá solicitar de alguna manera un usuario y
una contraseña para entrar en la configuración. Esto es
necesario para evitar accesos no deseados. Además, en el caso
de introducir varias veces un usuario o una contraseña
incorrecta, la herramienta de autenticación deberá bloquear el
acceso durante unos segundos.
2.4.8 Administración de dispositivos
La administración del dispositivo no solo se puede realizar de
manera interna en el dispositivo, sino que además se puede
gestionar desde una nube, debemos tomar ciertas medidas de
seguridad para evitar cualquier tipo de ciberataque. Una
medida que se puede emplear es asegurando el cambio de
contraseñas por defecto a unas más reforzadas. Además, es
lógico requerir una conexión cifrada con la nube mediante el
uso de protocolos seguros.
2.5 Recomendaciones y principios rectores
para los gobiernos sobre la seguridad de la
IoT
Los gobiernos desempeñan un papel importante en la
seguridad de la IoT. Al usar su enorme poder de mercado y
cuidadosamente crear e implementar políticas y regulaciones,
los gobiernos pueden promover mejores resultados para la
seguridad de la IoT para esto se recomienda los siguientes
puntos:
.
2.5.1 Fortalecer la responsabilidad
Fortalecer la responsabilidad por la seguridad y privacidad de
la IoT, estableciendo responsabilidades y consecuencias bien
definidas en caso de que la protección sea inadecuada.
 Garantizar la seguridad jurídica: Proveer reglas claras,
predecibles y exigibles que requieran que los proveedores,
desarrolladores y fabricantes de productos y sistemas para
la IoT incorporen protección frente a las vulnerabilidades
 conocidas garantizando la existencia de mecanismos de
informe, respaldando sus productos con parches y
actualizaciones de seguridad, y contando con políticas de
actualización y parches de seguridad claramente definidas,
incluyendo una fecha final a partir de la cual ya no se
ofrecerá soporte.
 Fortalecer la protección del consumidor : Los
gobiernos pueden facilitar una mayor seguridad y
privacidad al aclarar de qué manera las leyes de
privacidad, protección de datos y protección del
consumidor existentes se aplican a la IoT. De manera
similar a la prohibición de las representaciones engañosas
sobre la seguridad de los productos, también se debe
prohibir a las empresas realizar representaciones
engañosas o confusas sobre la seguridad de sus productos
o servicios para la IoT. Los minoristas también deben
compartir la responsabilidad y no vender productos para la
IoT que tengan defectos de seguridad críticos conocidos.
 Asignar claramente la responsabilidad: Para acabar
con la incertidumbre, los gobiernos deben asignar
claramente la responsabilidad a quienes pueden ejercer un
mayor control sobre la seguridad de un producto o
servicio. Quienes fabrican e importan productos para la
IoT deben ser responsables por los defectos de seguridad
de sus productos.
2.5.2 Promover el uso de señales de
seguridad
Aumentar los incentivos para invertir en seguridad mediante
el fomento de un mercado para la realización de evaluaciones
independientes y confiables de la seguridad de la IoT para
esto se recomienda:
 Fomentar esquemas de certificaciones de
seguridad creíbles: Una certificación permite que una
organización visibilice que un producto, servicio o
sistema, ha aprobado un conjunto de pruebas de calidad o
desempeño y puede ser una señal poderosa y visible de
cumplimiento que permita saber si un dispositivo para la
IoT utiliza las mejores prácticas o estándares. También
puede ser una herramienta eficaz para asignar y demostrar
la responsabilidad.
 Comentarios y calificaciones: Reconocer la función
que desempeñan las calificaciones y los comentarios de
los consumidores a la hora de destacar la privacidad y la
seguridad (o su ausencia) en la IoT.
2.5.3 Fomentar una cultura de seguridad
entre las partes interesadas de la IoT
Fomentar la seguridad como un componente de todas las
etapas del ciclo de vida del producto, incluidos el diseño, la
producción y la implementación. Fortalecer la capacidad de
las partes interesadas para responder y mitigar las amenazas
basadas en la IoT.
 Apoyar los análisis de riesgos de seguridad:
Promover el uso de técnicas de evaluación de riesgos de
seguridad aceptadas por la industria antes de que los
productos y servicios de la IoT lleguen al mercado.
Alentar a los fabricantes y proveedores de productos y
servicios para la IoT para que contraten expertos de
seguridad independientes para llevar a cabo las
evaluaciones. Donde sea posible, los gobiernos también
pueden apoyar el desarrollo de herramientas y procesos
para fortalecer los análisis de riesgos de seguridad.
 Promover mejores prácticas y principios rectores:
Promover a nivel global el uso de mejores prácticas y
principios rectores de seguridad que sean revisados con
frecuencia y ampliamente aceptados para guiar el diseño,
la implementación y el uso de los dispositivos y servicios
de la IoT.
2.5.4 Ofrecer fuertes incentivos para la
adopción de mejores prácticas de
seguridad
Los gobiernos pueden usar sus herramientas de políticas,
recursos y poder de mercado para hacer que la seguridad sea
un diferenciador competitivo.
 Mejorar las prácticas de adquisición para la IoT:
Desarrollar prácticas más sólidas para la adquisición de
dispositivos, plataformas y servicios para la IoT que
enfaticen el cumplimiento de las mejores prácticas de
seguridad y privacidad. Cuando los gobiernos crean un
mercado para las mejores prácticas en seguridad de la IoT,
las empresas responden intentando satisfacer dicha
demanda, por lo que la influencia llega tanto al mercado
de la IoT pública como al de la IoT privada.
 Apoyar la educación del consumidor: Apoyar y
participar en campañas de educación y sensibilización de
los consumidores para así estimular la demanda de
seguridad en la IoT. Cuando los consumidores
comprenden que una mejor seguridad es un elemento
diferenciador en el mercado, es posible justificar un precio
más alto ante los potenciales compradores.
 Asociarse con el sector de seguros : El sector de
seguros puede priorizar mejores requisitos de privacidad y
seguridad como una condición para suscribir una póliza.
Al tomar en cuenta la seguridad de los dispositivos de la
IoT y las aplicaciones y servicios relacionados que
utilizan las empresas, las agencias de seguros pueden
considerar el riesgo que presentan para determinar las
primas y los precios de los seguros.
 2.5.5 Fomentar soluciones independientes de
la tecnología y del proveedor
Las soluciones de seguridad no deben basarse en estándares
técnicos específicos ni en productos de un proveedor
determinado, sino que deben basarse en los resultados
deseados, como mayor seguridad, privacidad e
interoperabilidad. Es probable que estos objetivos no cambien
con demasiada frecuencia, pero los medios para lograrlos sí lo
harán.
 Regular por sector industrial puede llevar a
mejores resultados: Los principios básicos como la
protección de los datos se aplican en todos los sectores.
Sin embargo, los sistemas de la IoT se desarrollan y
utilizan en una amplia variedad de aplicaciones y sectores
industriales; por lo tanto, una regulación con un enfoque
sectorial que complemente a los principios básicos puede
permitir obtener resultados de seguridad más sólidos.

 Las políticas y requisitos de adquisición referidos

a la seguridad de la IoT deben especificar
resultados, no métodos: Dado que la IoT es un área en
rápida evolución, constantemente surgen nuevas amenazas
y métodos y tecnologías de seguridad. Al especificar
resultados en vez de tecnologías, los desarrolladores,
fabricantes y proveedores de servicios para la IoT tienen
libertad para innovar. Esto ayuda a garantizar que las
políticas serán más ‘a prueba de futuro’ y que no será
necesario cambiarlas significativamente con las nuevas
tecnologías.

 Fomentar la portabilidad de los datos: El hecho de

soportar estándares abiertos interoperables permite que los
usuarios tengan más control sobre sus datos dado que es
más fácil transferirlos a otros servicios. A los gobiernos
les conviene no vincular sus datos o los datos de sus
ciudadanos con soluciones propietarias específicas,
también conocido como dependencia de un proveedor

2.5.6 Utilizar cualquier política o

herramienta regulatoria de forma
inteligente

Dado que la seguridad es costosa y que para los usuarios

puede ser difícil reconocer o valorar la seguridad, las políticas
y las leyes pueden desempeñar un papel importante en la
conformación de prácticas de seguridad en la industria de la
IoT. Se pueden desarrollar políticas cuyo objetivo sea influir
en el ecosistema de la IoT de manera de promover mejores
prácticas de seguridad, antes que exigir soluciones técnicas
específicas.

 Las políticas o regulaciones se deben desarrollar

de manera transparente y deben priorizar los
intereses de los usuarios: Para fortalecer los
resultados, el desarrollo de políticas y leyes debe
beneficiar a todas las partes interesadas afectadas
(incluidos, entre otros, los proveedores, fabricantes,
usuarios y organizaciones de consumidores). Al
representar sus intereses, las organizaciones de
consumidores pueden desempeñar un papel muy
importante en el desarrollo de políticas.
 3. Conclusión
Los dispositivos IoT ya son de uso cotidiano y, pronto, casi
todas las empresas que venden dispositivos para el hogar
conectarán sus productos a Internet. De este modo, IoT tendrá
un crecimiento mayor con el pasar del tiempo.

Se ha ido enfatizando la importancia que en las medidas de

seguridad que se aplican, tanto a nivel de producto como a
nivel de usuario, para proteger la información personal de
delincuentes cibernéticos maliciosos es un trabajo en conjunto
que todas las personas involucradas deben asumir.
Comprender el creciente impacto que la seguridad de la IoT
tiene para Internet y sus usuarios es fundamental para
salvaguardar el futuro de Internet. Los fabricantes de
dispositivos para la IoT, los proveedores de servicios de la
IoT, los usuarios, las organizaciones de estandarización, los
legisladores y los reguladores deberán tomar medidas para
protegerse de las amenazas a la infraestructura de Internet,
por ejemplo, los ataques DDoS basados en la IoT.

Los retos de seguridad en IoT son grandes pero la

importancia que esta teniendo esta tecnología en nuestra
sociedad incrementa con el paso del tiempo, por esto para
avanzar de forma eficaz, se necesitará la participación
informada, el diálogo y la colaboración de una variedad de
partes interesadas.

4. Bibliografía
Internet Society. (17 de Abril de 2018). Obtenido de Internet Society Web Site: https://www.internetsociety.org/es/resources/2018/iot-
security-for-policymakers/

CSIRT-CV. (2014). Obtenido de csirtcv.gva: http://www.csirtcv.gva.es/sites/all/files/downloads/%5BCSIRT-CV%5D%20Informe-

Internet_de_las_Cosas.pdf

Departamento de Comercio de Estados Unidos. (2016). Obtenido de https://www.ntia.doc.gov/other-

publication/2016/multistakeholder-process-iot-security

INCIBE. (25 de Abril de 2019). Obtenido de Instituto Nacional de Ciberceguridad de España: https://www.incibe-
cert.es/blog/importancia-seguridad-iot-principales-amenazas

Karen Rose, S. E. (15 de Octubre de 2015). Obtenido de Internet Society: https://www.internetsociety.org/wp-

content/uploads/2017/09/report-InternetOfThings-20160817-es-1.pdf